Agentes de ameaça são rápidos em transformar provas de conceito (PoCs) disponíveis em ataques reais, às vezes em apenas 22 minutos após as explorações serem divulgadas publicamente. Essa informação é de acordo com o relatório de Segurança de Aplicações da Cloudflare para 2024, que abrange atividades entre maio de 2023 e março de 2024 e destaca tendências emergentes de ameaças.
Principais Vulnerabilidades
A Cloudflare, que atualmente processa uma média de 57 milhões de requisições HTTP por segundo, continua a observar uma atividade de varredura intensificada para CVEs divulgadas, seguida por injeções de comandos e tentativas de transformar PoCs disponíveis em explorações reais. Durante o período analisado, as falhas mais visadas foram CVE-2023-50164 e CVE-2022-33891 em produtos da Apache, CVE-2023-29298, CVE-2023-38203 e CVE-2023-26360 no Coldfusion, e CVE-2023-35082 no MobileIron.
Um exemplo marcante do aumento na velocidade de transformação é a CVE-2024-27198, uma falha de bypass de autenticação no JetBrains TeamCity. A Cloudflare observou um caso em que um atacante implementou uma exploração baseada em PoC 22 minutos após sua publicação, deixando os defensores essencialmente sem margem para remediação.
Acelerando a Resposta com Inteligência Artificial
A empresa de internet afirma que a única maneira de combater essa velocidade é empregar assistência de IA para desenvolver rapidamente regras de detecção eficazes. “A velocidade de exploração de CVEs divulgadas é frequentemente mais rápida do que a velocidade com que humanos podem criar regras WAF ou criar e implantar patches para mitigar ataques”, explica a Cloudflare no relatório. “Isso também se aplica à nossa própria equipe de analistas de segurança internos que mantém o Conjunto de Regras Gerenciadas do WAF, o que nos levou a combinar assinaturas escritas por humanos com uma abordagem baseada em aprendizado de máquina para alcançar o melhor equilíbrio entre baixos falsos positivos e velocidade de resposta.”
Especialização em Categorias de CVE
A Cloudflare afirma que isso é parcialmente resultado de atores de ameaça específicos se especializarem em certas categorias de CVE e produtos, desenvolvendo um entendimento aprofundado de como tirar proveito rapidamente das novas divulgações de vulnerabilidades.
Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.